使用TScopy访问已锁定的文件
关于TScopy
在事件响应(IR)过程中,研究人员通常需要访问或分析文件系统上的文件。有时这些文件会因为正在使用而被操作系统(OS)锁定,这就很尴尬了。TScopy允许以管理员权限运行的用户通过解析文件系统中的原始位置并在不询问操作系统的情况下复制文件来访问锁定的文件。
当然了,社区还有很多能够执行类似任务的其他工具,比如说RawCopy,而我们的TScopy也是基于该工具开发出来的。然而,RawCopy也有一些缺点,这也是我们开发TScopy的原因,并且提升了工具性能和集成扩展性。
TScopy是一个Python脚本,可以用于解析NTFS $MFT文件以定位和复制特定文件。通过分析主文件表(MFT),脚本绕过了文件上的操作系统锁。此前的RawCopy是用AutoIT编写的,很难修改,因此我们才决定将RawCopy移植到Python上。
TScopy被设计成可以作为一个独立的程序运行或作为一个python模块导入使用。
TScopy和RawCopy的区别
TScopy是用Python编写的,并且被组织成类,以使它比AutoIT更易于维护和可读。而AutoIT可能会被反病毒产品标记为恶意组件,因为现在有很多恶意软件已经开始利用它来实现攻击了。
TScopy和RawCopy的主要区别在于每次执行时可以复制多个文件,并且可以缓存文件结构。TScopy提供了下载单个文件、多个逗号分隔文件、目录内容、通配符路径(单个文件或目录)和递归目录的选项。TScopy在迭代目标文件的完整路径时缓存每个目录和文件的位置。然后,它使用此缓存优化对任何其他文件的搜索,确保以后的文件拷贝执行得更快。与RawCopy相比,这是一个显著的优势,RawCopy则会迭代每个文件的整个路径。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/trustedsec/tscopy.git
工具使用样例
下列命令会将SYSTEM注册表信息拷贝至e:\outputdir,新文件路径为“e:\outputdir\windows\system32\config\SYSTEM”:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM -o e:\outputdir
下列命令会将SYSTEM注册表信息拷贝至e:\outputdir,但是会忽略之前缓存的文件,并且不会将当前缓存保存至磁盘中:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM,c:\windows\system32\config\SOFTWARE -o e:\outputdir
项目地址
TScopy:https://github.com/trustedsec/tscopy
使用TScopy访问已锁定的文件相关推荐
- Python使用openpyxl库操作Excel之(二)访问已有的Excel文件
①指定路径打开Excel文件 使用openpyxl.load_workbook()方法来访问文件,括号内参数为文件的指定路径. 运行结果: <class 'openpyxl.workbook.w ...
- VMware Workstation提示:另一个程序已锁定文件的一部分,进程无法访问,删除.lck文件夹和文件
一.现象 VMware Workstation提示:另一个程序已锁定文件的一部分,进程无法访问,截图如下: 二.原因 因为虚拟机在运行的时候,会锁定文件,防止被修改,而如果系统突然崩溃,虚拟机就来不急 ...
- 日常BUG总结:另一个程序已锁定文件的一部分,进程无法访问 打不开磁盘
晚上电脑自行关机,第二天再次开机,打开VMware,出现如下错误: 另一个程序已锁定文件的一部分,进程无法访问 打不开磁盘"E:\Ubuntu\Ubuntu 64 位.vmdk"或 ...
- VMware 报错:“另一个程序已锁定文件的一部分,进程无法访问”---Linux运维工作笔记051
VMware 报错:"另一个程序已锁定文件的一部分,进程无法访问" 类似这样的错误...有一个办法就是,删除掉 虚拟机文件夹中的:.lck文件,这样再去启动,一般就可以了, 当然也 ...
- VMware Workstation——虚拟机启动Ubuntu系统时报错:“另一个程序已锁定文件的一部分,进程无法访问”解决办法
[系列专栏]:博主结合工作实践输出的,解决实际问题的专栏,朋友们看过来! <QT开发实战> <嵌入式通用开发实战> <嵌入式Linux开发实战> [问题]: 元旦前 ...
- VMware启动报错:另一个程序已锁定文件的一部分,进程无法访问(删除最近的.lck文件夹)
虚拟机关不掉,我直接重启电脑,重启后就变成这样了 原因: .lck文件是VMWare软件的一种磁盘锁文件,由于虚拟磁盘(.vmdk)本身有一个磁盘保护机制,为了防止多台虚拟机同时访问同一个虚拟磁盘(. ...
- VMware 丢失vmx文件恢复后报错:找不到磁盘文件,“另一个程序已锁定文件的一部分,进程无法访问”解决办法
从vmware.log日志里恢复vmx配置后,启动老是提示已锁定 1.删除带lck文件 2.修改vmx文件,删除类似下面的恢复点checkpoint设置 checkpoint.vmState = &q ...
- 访问windows server 2022共享文件夹提示引用 的账户当前已锁定且无法登录的解决
访问windows server 2022共享文件夹提示 引用的帐户当前已锁定,且可能无法登录的解决 客户端打开windows server 2022的共享文件或者升级文件夹时提示"引用的帐 ...
- mac hosts文件已锁定无法修改怎么办?hosts修改权限设置教程
大家是不是经常遇到苹果电脑mac hosts文件经常提示已锁定,无法修改?这时候会提示大家只能创建hosts文件副本替换修改,但是这样修改的hosts文件是无效的,苹果电脑mac hosts文件修改教 ...
- android不能访问数据库文件,android下访问已存在的sqlite数据库文件的办法
问题来源:android下的sqlite数据库一般都是单机的,当一个应用中数据库的数据多的时候,每换一个机子都重新配置一下数据库中所有数据显然是浪费时间的,所以最好的办法就是可以访问一个已经存在的数据 ...
最新文章
- react-webpack-express
- 5分钟学会区块链 - 开发一条区块链 Develop BlockChain with Tendermint
- 江苏联合阿里云启动“1+30+300”工程 制造业大省欲打造智造模板
- 深度学习数据集制作工作_创建我的第一个深度学习+数据科学工作站
- TSPITR方式数据库找回误操作丢失的数据
- 5gnr帧结构特点有哪些_真空离子束刻蚀设备的结构特点有哪些
- [短彩信]C#短彩信模块开发设计(2)——配置
- Linux驱动程序的数据封装
- Java8 Stream详解~Stream 创建
- 查找数组键名是否存在
- 途观l怎么使用_值得考虑的SUV车型,昂科威、探岳、途观L,你会如何选?
- CentOS 6.9修改网卡名eth1为eth0
- 易筋SpringBoot 2.1 | 第廿四篇:SpringBoot访问Docker中的MongoDB
- 基于matlab 的燃油喷雾图像处理方法,基于matlab的燃油喷雾图像处理方法
- 综合影响力模型InfG算法
- 对偶式与反函数_对偶式和反函数什么关系,是不是都是一样,还是怎么回事啊,...
- 错误排查:Cloudera Manager Agent 的 Parcel 目录位于可用空间小于 10.0 吉字节 的文件系统上。 /opt/cloudera/parcels...
- directx修复工具win7_win8下怎么装win7 win8下装win7方法【详细步骤】
- 计算机和网络之间有个感叹号,网络有个感叹号!电脑无线网络连接不上的几种常见问题...
- candidate expects 1 argument, 0 provided 错误解决